ipoe接入认证方式研究及实现.pdf

IPOE接入认证方式研究及实现课题研究项目组二〇〇九年十月目录一、概述二、接入认证技术的简单介绍三、IPOE定义与发展四、Session级IPOE对设备的要求五、苏州、盐城IPOE试点方案六、江苏电信IPOE部署方案建议2一、概述项目提出的背景研究的主要内容3概述1、项目提出的背景引入IPOE接入认证方式可以提高网络的业务承载能力,更好地满足业务承载的要求。目前,“我的E家”业务主要有iTV业务,VOIP业务,家庭网关管理业务以及高速上网业务。zIPOE的使用可以使得iTV业务的跨VLAN组播复制点下移,优化网络的流量模型,减少带宽的消耗;z语音业务要求提供高可靠性,在城域网承载中,后续将考虑为其提供热备份,IPOE接入方式能够实现业务倒换时无需用户重新拨号;z使用SIP语音终端的时候,适用IPOE接入方式,还可通过DHCPServer下发相关的业务配置,实现业务的自动配置;z家庭网关的管理,采用IPOE接入方式符合业务即插即用的要求。2、研究的主要内容课题组通过对接入认证技术进行跟踪和研究,结合我省长期在线业务对用户有效管理和控制的需求,设计了一套基于IPOE认证技术的解决方案,并选取苏州和盐城分别进行了非Session级IPOE和Session级IPOE的试点部署,在对试点方案进行总结与分析的基础上,提出了江苏电信IPOE部署方案的建议。4二、接入认证技术的简单介绍接入认证技术PPPoE与IPOE的比较5接入认证技术对比zPPPoE:是利用以太网发送PPP包的传项PPPoEIPoE输方法和支持在同一以太网上建立多个会话控制能力弱,没通过PPP封装,有很强PPP连接的接入技术。PPP协议是一种点会话有明显的会话过程,的会话控制能力,通过到点的链路层协议,它提供了点到点的控制不便于计费。但在拨号过程建立会话,便能力Session级IPOE方案一种封装、传递数据的方法。目前电信于计费的基础数据业务均采用PPPoE接入方式。中有改进zIPOE:采用WT-146用户会话控制机制,复杂增加了PPPoE层和没有额外的协议封装,度PPP层,处理流程复杂处理流程简单结合当今PPPoE通用的RADUIS协议,采通过DHCPOption扩用OPTION60和OPTION82字段来实现认通过PPP属性扩展,扩展,接入设备只做证的一种机制。OPTION60是用来识别展需要对接入设备做升可扩DHCPRelay,不需要用户终端类型,从而识别用户业务类型,级,难度大展性升级,难度小DHCP服务器可以依赖于此分配不同的业务IP地址。而OPTION82信息是由网络设处理流程复杂,性能开协议流程简单,性能性能销大开销小备插入在终端发出的DHCP报文中,主要对终终端需要实现PPP协议用来标识用户终端的接入位置。终端只要实现TCP/IP端要栈和PPPoE协议,要协议栈,要求低求求高热备会话能力强,处理复杂,会话能力弱,处理简能力热备实现难度大单,实现热备容易6三、IPOE定义与发展非非SessionSession级级IPOEIPOE定义定义SiSession级IPOE定义非Session级IPOE与Session级IPOE比较7非Session级IPOE定义1DHCPServer、自认证方式设备处理要求:zMSE设备:支持DHCPRelay;支持DHCPSnooping。zDHCPServer:需扩展DHCPServer系统,存储用户认证信息;DHCPServer收到用户请求,提取用户信息,进行校验;根据DHCP请求的Option60信息识别用户的业务,分配相应的地址段。方案分析:z优点:部署简单,改造量小,无需部署认证服务器,MSE设备要求简单,只需支持DHCPRelay。z缺点:没有Radius认证,授权,无法实现用户业务的动态控制,业务部署过程需要Radius配合的场景,将无法实现;没有用户session,对用户业务管理、控制、策略的变更能力弱;没有Radius,无法实现业务的计费功能;缺乏Radius认证的安全性,业务认证的安全性依赖于DHCPServer;DHCPServer需进行扩展,以支持对用户身份的鉴别。8非Session级IPOE定义2DHCPServer、发起认证方式设备处理要求:zMSE设备:支持DHCPRelay;支持DHCPSnooping。zDHCPServer:开发相应的私有接口,实现提取用户请求中的信息,形成用户名、密码的格式送给认证服务器;或实现RadiusClient功能,并开发相应的功能将用户名、密码提取,转成Radiususer-name,password属性送给认证服务器;支持根据DHCP请求的Option60信息识别用户的业务,分配相应的地址段。z认证服务器:根据DHCPServer送过来的用户名、密码,进行认证,并返回